Делаешь замысловатый пароль
@
Хранишь его в попенсурсной хуйне
@
Постоянно разлогиниваешься
@
На серевере ресурса всё хранилось плейнтекстом
@
Твой смешной пароль среди qwerty123 в слитой базе
@
Хранишь его в попенсурсной хуйне
@
Постоянно разлогиниваешься
@
На серевере ресурса всё хранилось плейнтекстом
@
Твой смешной пароль среди qwerty123 в слитой базе
> Программа pass
расскажи как там с доступом к паролям из консольки.
вот я могу ввести мастер пасфрейз и разлочить свой keepassxc. тогда и браузер и консолька у меня могут пользоваться паролями через NaCl, пока база разлочена (там подтверждение будет всплывать при использовании, можно галочки ставит "разрешыть шарить этот пароль с бравузером/консолькой" и все дела). а у пасса что-то такое есть? как часто мастер пароль нужно вводить для этого? я знаю, что у пасса есть дополнение для лисы. мастер пароль держит в памяти дополнение? есть какой-то пасс-сервер для пасса?
как там хранится история паролей? у кипаса я могу посмотреть всю историю изменений записи - вдруг я при смене пароля объебался и пароль на самом деле не сменился. всё в гите хранить, да? что тогда с переиспользованием ключа шифрования? ведь нехорошо иметь несколько файлов, зашифрованных одинаковым ключом.
>Из-за удобного пути можно легко понять какой файл содержит пароль от чего
а еще удобнее это иметь метадату с описанием, а не ограничиваться "удобным путём". складываю в кипас с записями госуслуг всякие номера паспортов, ИННы, СНИЛСы. разве что без сканов, хотя тоже можно.
>Как это не сюда же я занусу блокнотик
>Некоторые пароли больше никак не сохранишь, например пароль от зашифрованного SSD.
вполне сохранишь. у тебя телефон есть, можешь каждый раз с телефона вбивать пароль.
к слову, я жалею, что поставил слишком длинную пассфразу и храню все пароли в одной ДБ под этой пассфразой. это лишнее палево пассфразы ради входа в какую-нибудь хуйню вроде рутрекера. нужно будет их разделить.
Keepass xc, пароли 30 символов заглавными, строчными, цифрами и спецсимволами. На саму базу пароль 20+ тем же набором символов. Где возможно включаю 2FA, планирую купить ybikey. Рейт параною.
> всё ещё подбираемую вроде yomamaisafatbitch
Везде где нужно вручную вводить пароли юзайю три-четыре слова. Запоминается за три секунды. Удачи подобрать.
>16+ буквы цифры знаки, сгенеренные.
Сложно запоминать. Можно некое словосочетание с парой рандомных символов там и сям. По словарю не подберёшь, брутфорсом тоже, запомнить легко.
>программа pass
А зачем вообще ставить программу, когда можно создать запароленный xlsx/odt и там всё удобно и просто хранить?
Тред не читал. Вернее, попробовал - говно какое-то. Юзаю keepass. Бэкаплю базу вручную, на свою почту и облака, предварительно ещё засунув в рар архив с длинным паролем
> А зачем вообще ставить программу, когда можно создать запароленный xlsx/odt и там всё удобно и просто хранить?
программы нужны для удобства. зачем таблички в екселе, если можно таблички на бумажке написать и отправлять факсом? сколько пердолинга нужно, чтобы вытащить одну единственную строчку из odt? или ты подразумеваешь, что в файлик ты руками будешь лазить самостоятельно всегда?
>Сложно запоминать
ну наверное анончик не советовал их использовать в качестве мастер-паролей, которые имеет смысл запоминать.
>рар
Неужели кто-то им до сих пор пользуется?
>good teir 10-16 сгенеренные
>Jesus teir 16+ буквы цифры знаки, сгенеренные
У тебя какой-то необоснованный дроч на генерацию паролей.
60+ символов, придуманный вручную из 6+ слов и десяти символов рандомной хуйни это какой tier?
Да, я пользуюсь таким паролем для криптоконтейнера с самыми важными данными.
>Jesus teir.
>Программа pass.
Нигде кроме головы это какой tier?
Да, я помню тот пароль.
>пишите pass -c path/to/password
>Буфер обмена очищается через 45 секунд.
Осталось очистить память шелла, в котором ты это писал.
>Они там лежат в зашифрованном виде, и шифровки используется ВАШ личный gpg ключ.
Один на всех. Словил троян, спиздили один раз папку, спиздили один раз ключ — прощайся со всей своей цифровой жизнью.
Сравни это с ситуацией «Помню все свои важные пароли, ввожу по мере надобности, остальные пароли храню по твоей методике».
А чем он плох? Архивы надежней, чем 7z, жмет лучше, чем zip, случаев взлома, кроме тупого брутфорса - не зафиксировано, удобный интерфейс, ключи варезные в достатке. Что ещё надо для счастья?
> 60+ символов, придуманный вручную из 6+ слов и десяти символов рандомной хуйни это какой tier?
шизик-тир. я 40 символов заебываюсь вводить, особенно если у тебя нормальное шифрование и проверка неверного ключа занимает охуеть как долго.
>десяти символов рандомной хуйни
нахуй не нужно тир. можно просто взять слова из двух языков, хотя с 60 символами и это нинужно.
>память шелла
чиво? почему вывод пасса, который напрямую пайпится в хклип, должен как-то сохраниться в шелле, в котором он писал команду? у тебя yes куда-то в память шелла сохраняется?
>Сравни это с ситуацией «Помню все свои важные пароли, ввожу по мере надобности, остальные пароли храню по твоей методике».
>остальные пароли храню по твоей методике
сравни это с ситуацией "я буду делать как написано но хочу очень хочу выебнуться снисходительным тоном в интернете как будто пост с рассасыванием паролей был адресован мне, а не людям, которые реюзают один и тот же пароль везде"
не оп если што
> Архивы надежней, чем 7z
Чем они надежней?
>А чем он плох?
Кряки искать надо. Интерфейс говно. Мне не нужно в 2020 году милипиздрическое окошко из DOS, нерастягиваемое.
Какое ещё окошко?
Квадратное, когда пакуешь или распаковываешь. Не видно даже имени файла, позор нахрен.
У меня стоит отдельный комп с 100ГБ винтом, без доступа к интернету. На нём храню все свои пароли и важные документы.
Пароли >21 символов - цифры, буквы, символы, верхний и нижний регистры. Генерирую их через батник.
Пароли >21 символов - цифры, буквы, символы, верхний и нижний регистры. Генерирую их через батник.
Вопрос - как запоминать пароли, чтобы надолго?
Я легко запоминаю ИНТЕРЕСНУЮ информацию. Бессвязный набор символов легко забывается, если не пользоваться им годик прощайте биткоины. Да что там - можно здесь и сейчас забыть ту комбинацию, которой пользуешься в данный момент. И наперебирать через сутки верный вариант. Просто потому что мозг привыкает к старой информации, и постепенно ее вытесняет.
Всякие anki, попытка завизуализировать информацию - херовая альтернатива. Возможно у меня проблемы с памятью. Вообще испытываю перманентную апатию, поэтому эмоций интереса, дабы "запоминать" - немного.
ЗЫ: пил много различных ноотропов. Вроде бы мемантин обострял память, заставляя вспоминать различные мелкие деталиподробности. Но он для больных Альцгеймера, а у меня симптомов Альцгеймера не наблюдается, так что пить его страшно.
Я легко запоминаю ИНТЕРЕСНУЮ информацию. Бессвязный набор символов легко забывается, если не пользоваться им годик прощайте биткоины. Да что там - можно здесь и сейчас забыть ту комбинацию, которой пользуешься в данный момент. И наперебирать через сутки верный вариант. Просто потому что мозг привыкает к старой информации, и постепенно ее вытесняет.
Всякие anki, попытка завизуализировать информацию - херовая альтернатива. Возможно у меня проблемы с памятью. Вообще испытываю перманентную апатию, поэтому эмоций интереса, дабы "запоминать" - немного.
ЗЫ: пил много различных ноотропов. Вроде бы мемантин обострял память, заставляя вспоминать различные мелкие деталиподробности. Но он для больных Альцгеймера, а у меня симптомов Альцгеймера не наблюдается, так что пить его страшно.
/me/
Записывай их на бумагу.
Час записывать 1 раз в месяц, потом сжигать? Неплохая идея
Можешь воспользоваться текстовым редактором и распечатывать.
А если делать нехуй, можно вообще журнал для паролей сварганить на несколько листов.
Бить по клавишам не так эффективно, как выводить чернилами. И так бьешь по клавишам каждый раз, привыкаешь
Не, я к тому, что запоминать пароль - нахуй не нужно. Лучше заботься о том, что он будет записан у тебя где-то и надежного закрыт.
>40 символов заебываюсь вводить
Потому что это рандомным символы, а не набор слов о котором говорил тот анон.
>Программа pass.
Господь дал вам божественный битварден, нет хочу жрать кривое неудобное говно, чтобы быть как хацкеры из фильма.
Физические угрозы не менее реальны, чем информационные
>В теории их всех можно спиздить запросто
Но на практике чтобы это сделать надо сначала преодолеть все уровни защиты от браузера и антивируса до самой ОС и получить доступ к файловой системе. Дальше мы получаем доступ к тысячам текстовых файлов на пеке, нужно проанализировать каждый и понять какой из них с паролями, а потом ещё соотнести эти пароли с аккаунтами (ведь достаточно просто не писать в файлик пароли вместе с логином и доменом сайта, чтобы обладание этими паролями злоумышленником было бесполезным).
Кароче, с моей обывательской точки зрения, задача не реализуемая.
А вот пользоваться менеджером паролей - это как засунуть все свои деньги в сейф, поставить на улицу и повесить табличку "там деньги". Ну т.е. да, вроде как в отличии от .txt тут есть защитка, шифрование хуё моё, но все знают где искать и рано или поздно этот условный сейф сломают.
Поэтому .txt - это как раз Иисус-тир, но только если тебе не нужна синхронизация между устройствами. Тут да, перекидывать его туда-сюда так себе идея.
Зачем тебе это графическое говно ебать?
Я просто пишу pass -c vk/sychov и оно уже в буфере...
> Поэтому .txt - это как раз Иисус-тир, но только если тебе не нужна синхронизация между устройствами. Тут да, перекидывать его туда-сюда так себе идея.
Чё тебе мешает зашифровать, ракушка?
А я просто захожу на сайт и оно уже введено. 21 век, харе консольку ебать, девушку себе найди.
> 21 век, харе консольку ебать, девушку себе найди.
21 век ассоциируется с технологиями только потому что их пишут кодеры, использующие консольку каждый день
>Нигде кроме головы это какой tier?
>Да, я помню тот пароль.
Хранить в памяти все свои пароли либо allah teir, либо shit teir.
Если у тебя 1 пароль на все сервисы - щит.
Если у тебя 10+ серверы, на каждый из них по длинному паролю, то ты аллах.
> У тебя какой-то необоснованный дроч на генерацию паролей.
Ну очень просто, у сгенерированных паролей выше энтропия. Выше энтропия, сложнее подобрать. Человек придумает пароль с худшей энтропией, вот и всё.
>10+ серверы
сервисов
Пиздец еблан, то что в программировании и других сферах консоль имеет смысл, не наделяет её смыслом для остальных задач в которых она не нужна и не даёт профитов. Так что это просто дешёвый понт, посмотрите я у мамы хацкер.
Если у вас есть программируемая клавиатура, то просто в одном из fn-слоёв делаем макросы с паролями любой сложности. Безопасность 100%.
Дырой от ФСБ?
эм, нет, не поэтому. у меня пассфраза из слов, лол. почему ты мне рассказываешь, какой у меня пароль?
Тока недавно рилейтед-новость видел.
ФБР рекомендует: вместо коротких сложных паролей лучше перейти на простые парольные фразы
https://3dnews.ru/1004305
Если вкратце, то легко запоминающийся пароль из 20-30 символов в виде каких-нибудь фраз будет куда безопасней, чем 5-10-символьный сгенерированный пароль.
Т.е. длина пароля > сложность пароля
ФБР рекомендует: вместо коротких сложных паролей лучше перейти на простые парольные фразы
https://3dnews.ru/1004305
Если вкратце, то легко запоминающийся пароль из 20-30 символов в виде каких-нибудь фраз будет куда безопасней, чем 5-10-символьный сгенерированный пароль.
Т.е. длина пароля > сложность пароля
Ну так программисты тоже есть которые в винде сидят, ide используют, графические обёртки для git и тд.
Программистом тоже можно быть гуишным, никто не запрещает. Просто это не так продуктивно. Терминал - это более удобный инструмент, так же как и vim.
Их сложнее выучить, потребуется убить 1-2 дня, а потом они кажутся удобнее чем всё остальное.
> Так что это просто дешёвый понт, посмотрите я у мамы хацкер.
Ну так я рил веб макак, чем понт дешёвый?
>Ну так программисты тоже есть которые в винде сидят, ide используют, графические обёртки для git и тд.
И че?
>Программистом тоже можно быть гуишным, никто не запрещает. Просто это не так продуктивно. Терминал - это более удобный инструмент, так же как и vim.
И че?
>Их сложнее выучить, потребуется убить 1-2 дня, а потом они кажутся удобнее чем всё остальное.
Какое это отношение имеет конкретно к твоим угрулькам в хакера, за которыми ничего не стоит?
>веб макак
Лучше бы помалкивал.
>чем понт дешёвый?
Все твоё решение бессмысленный костыль. Ладно бы сам говно жрал, другим советует как что-то хорошее.
Ну чё значит и чё? Кампутеры ему не интересны, тян найти советует, в /sex/ иди
Можно использовать мышечную память. Т.е. создавать пароли, вообще не думая о символах, а просто тыкая в определённые упорядоченные кнопки клавиатуры. Сначала будешь медленно вводить и запоминать, потом уже тупо на автомате набирать 20 символов, вообще ни разу не включая свою башку.
Я свои пароли в принципе не помню (вот вам и дополнительная защита от анального брутфорса криптопаяльником), но как только я нажимаю окошко ввода пароля, рука сама тянется набрать нужные символы. Правда, таким способом не запомнишь пароли на редко используемых сайтах.
>Ну чё значит и чё?
То что причём тут вообще эти твои набросы.
>Кампутеры ему не интересны, тян найти советует, в /sex/ иди
Ты совсем ебанутый! Конкретно можешь сказать где ты выиграл от консольного менеджера паролей?
Речь не о том, что перекидывание небезопасно. Зашифровать-то можно, но тут дело в самом неудобстве способа. Вот добавил ты паролик в свой файлик, и нужно снова перекидывать по всем своим устройствам.
Если реально приходится часто вводить пароли со своего смарта, то уже любые способы, предусматривающие перекидывания между устройствами становятся неудобными. А уж про говнопердольные консольки вообще нахуй не всрались.
Боже, какие же дауны это пишут.
Смотри, петушок, поясняю кратко.
https://www.ef.com/wwen/english-resources/english-vocabulary/top-3000-words/
Вот списочек 3к самых популярных слов из английского языка. В нём есть 3 из 4 слов которые ты придумал.
Допустим чувак послушается совета, и создаст комбу
blackbulletwintermeal
3к слов, будем считать что в пароле их 4.
Пишем программульку, которая не по буквам подбирает, а по вот этому словарику.
3000^4 = 8.1e+13
Вот столько возможностей.
Смотрим сюды
https://www.password-depot.de/en/know-how/brute-force-attacks.htm
Пароль из 8 символов(с ловеркейсом и знаками) даёт чуток больше вариантов, и ломается за 2.6 дня.
Ну твою лажу взъебут за 2 дня ровно. Поздравляю.
А чебураха из 12 символов миллионы лет будет взъёбываться.
ФСБ пусть хотя бы успешно телегу заблочит, а то стыдно.
> ФСБ
А, там ФБР. Чёт подумал что ФСБ. Ну тогда пусть идут Сноудена ловят, хуле
Так это делается автоматически. Если уж ты такой виндузный лошпед, ну заюзай битлокер родимый и хотя бы им шифруй файл.
А норм люди gpg юзают и им норм.
>Ты совсем ебанутый! Конкретно можешь сказать где ты выиграл от консольного менеджера паролей?
Ну с моих аккаунтов не спиздили бабки, мои биткойны никто не трогал, с моей векахи не рекламируют спайсы.
Это не является отличительная особенностью консольного парольного менеджера. У тебя с логикой совсем беда похоже, оно и понятно, когда нет аргументов приходится нелепицу высирать.
Так я не говорю тебе консольный использовать, я ж написал шо любой опенсорсный с шифрованием пойдёт.
Просто мне консольный удобнее, вот и всё.
>Так я не говорю тебе консольный использовать
>Зачем тебе это графическое говно ебать?
Это не ты писал?
>Просто мне консольный удобнее, вот и всё.
Впрочем можешь не отвечать, тут и так слив очевиден. В следующий раз десять раз подумай прежде чем свое говно высирать.
Бля, чел, в мамашу я в твою сливал.
>Зачем тебе это графическое говно ебать
Я писал, но где противоречие-то?
Графический и не графический менеджер паролей одинаковы по функционалу, но это ж не повод юзать графическое говно.
Даже к этой программе есть gui в виде qtpass, но зачем?
Можно git юзать не консольный, а графический. Функционал тот же, но зачем?
С точки зрения безопасности равны, но зачем ебать гуй когда можно его не ебать?
>Я писал, но где противоречие-то?
Преимущество графического решения очевидны. Меньше телодвижений с большим функционалом.
>Графический и не графический менеджер паролей одинаковы по функционалу
Возможно номинальное и так, однако если взять например такую функцию как автоматическое введение или сохранение форм сколько лишних действий надо будет совершить чтобы добиться в консольке результата двух кликов в гуи. Уж про синхроназицию и адекватное решение для мобильных платформ и говорить нечего, там кстати тоже консолькой пользуешься?
>но это ж не повод юзать графическое говно.
Скорость, удобство, отсутвие необходимости лишних действий, слышал о таком, вот для пердоленья консольки повода действительно нет.
>qtpass
Ну такое говно действительно непонятно зачем существует.
>Можно git юзать не консольный, а графический.
Опять ебаната в сторону понесло, совсем деревянный.
>С точки зрения безопасности равны, но зачем ебать гуй когда можно его не ебать?
Зачем ебать консольку в задачах где она не нужна?
Слушайте челы, ток шо задумался об одной хуйне и у меня жопа сгорела.
Короче, насколько безопасно использовать генераторы паролей из интернета? Где вероятность что пароли, которые ты там генеришь не сохраняются в спискоту, а потом челы не пробивают аккаунты?
Короче, насколько безопасно использовать генераторы паролей из интернета? Где вероятность что пароли, которые ты там генеришь не сохраняются в спискоту, а потом челы не пробивают аккаунты?
В чём проблема рандомно наебашить кнопок на клаве? Недостаточно СЛУЧАЙНО?
>Меньше телодвижений с большим функционалом.
Забавный кукарек.
>пайпится
>почему должен как-то сохраниться?
А ты не очень умный, да?
Остальная часть бесполезного кукарека проигнорирована.
>у сгенерированных паролей выше энтропия
Необоснованно. Как сравнивать будешь?
«припиздячило восььемнадцать nowh+48/26ere СверХсобачих» — попробуй сравни со своими 7216 вариантами.
Ты не поверишь, но да. Попробуй 200 раз подряд наебашить рандомных кнопок на клаве, потом банально отсортируй по алфавиту и наверняка увидишь свою «случайность» невооружённым взглядом.
> >почему должен как-то сохраниться?
> А ты не очень умный, да?
если объяснишь, то можешь хоть мою жену выебать. у меня интеллектуальный интерес в том, чтобы ты показал свою неграмотность.
>Вот списочек 3к самых популярных слов из английского языка. В нём есть 3 из 4 слов которые ты придумал.
А теперь найди списочек из 50к слов и пересчитай
Храню все пароли в keepass, но в конце к каждому добавляю цифры 666. Даже, если keepass окажется дырявым говном, и майор вскроет базу - ни один пароль не покатит (ну, кроме паролей от вайфаев, корпоративной почты и прочих, которые не я придумывал.
У меня всегда самые важные пароли имеют вид NoGgohuYc_pe$da-aN00z784@arTagan0les4tsYiia1991%weenDafs3kspee. Достаточно устойчиво?
Сейм, даже есть в блокноте сложные пароли в открытом виде, но с небольшим окончанием которое знаю только я.
Какие подводные в этом случае? Кроме того, что с помощью кейлоггера могут отследить "зависимость".
P.S. Странно, что никто о таком не писал даже, видимо мы 2 гения или это хуйня идея?
Если будут целенаправленно ломать, то пара символов роли не играет. Также не исключено, что если сольют пару миллионов паролей - к ним также применят вариант "изменить пару символов и посмотреть что будет". Много людей использует один пароль с его небольшими вариациями.
>У меня стоит отдельный комп с 100ГБ винтом, без доступа к интернету. На нём храню все свои пароли и важные документы.
А как они попадают на целевую систему? Вбиваешь вручную цифры, буквы, символы, верхний и нижний регистры? А как организован бекап, вручную каждую неделю? На отдельную флешку? А если пароль понадобится изменить?
А если все бекапы в комнате сгорят в пожаре, относишь бекап в условную банк. ячейку?
>Достаточно устойчиво?
Важней как ты их хранишь
>Короче, насколько безопасно использовать генераторы паролей из интернета? Где вероятность что пароли, которые ты там генеришь не сохраняются в спискоту, а потом челы не пробивают аккаунты?
Зависит от конкретного сайта. В 95% что не записывают, если страница не перезагружается. Однако есть различные телеметрии, у того же firefox и ublock. ВЗламывают расширение/хранилище телеметрий - все твои данные у хацкеров.
Использую уже лет 7 keepassxc на Винде и keepass dx на ведре. Пароли генерятся на 15+ символов, защищена мастер паролем и ключ-файлом. Прозрачная интеграция с фф при разблокировке. Храню в облаке только саму базу. Брат жив, зависимость есть.
Проебешь ключ-файл
Это дефолтная картинка шиндовс.
> Если будут целенаправленно ломать, то пара символов роли не играет. Также не исключено, что если сольют пару миллионов паролей - к ним также применят вариант "изменить пару символов и посмотреть что будет". Много людей использует один пароль с его небольшими вариациями.
У меня пароли все в KeePassXC (30+ символов) просто добавлено некоторое кол-во символов в конец.
Нахуй мне твоя жена, куколд мелкобуквенный?
напишите ему какую-нибудь шутку про то как моя жена сосет и как он с пайпами обращается, а то у меня не придумывается. так объясняй давай, почему данные, передаваемые по пайпам из одного процесса в другой сохраняются в "памяти шелла", можешь жену забирать, будете пайпить друг друга.
>напишите ему какую-нибудь шутку про то как моя жена сосет
Ты заебал уже про свою жену, небось, возбуждаешься, когда её обсуждают в сексуальном подтексте?
> напишите ему какую-нибудь шутку
А ты будешь смотреть в стороне?
У пердоликов не бывает жены, дурак!
Wizard tear
Аппаратный токен с PKCS #11, логинишся через сертификат
Аппаратный токен с PKCS #11, логинишся через сертификат
Кому и что ты пытаешься доказать? Тебя тут даже не поймут.
А это мало чем отличается от просто купить флеху, и на неё закинуть шифрованные файлы. Открываешь через gpg сертификат. Та же хуйня.
Вот если бы была возможность расшифровки по пальцу - было бы весело.
Смотря какой токен. Подписывание идет в самом токене, а не на пеке. Приват кей не попадает в ОЗУ компа.
что не так с моей женой? про пайпы и "память шелла" рассказывай, хули ты так на жене сконцентрировался?
А требуется на токены проли задовать, или сам токен это и есть пароль? Пизда токену, пизда паролю?
Отдыхай со своей дыркой, дядя. Не собираюсь я тебе рассказывать ничего — заставишь потом в неё кончать ещё, оно мне нахер не надо.
Заорал.
> Не собираюсь я тебе рассказывать ничего
ясн
Да. На более криптошизиковых токенах пароль это OTP
И да, разебал токен - никак не вытащить, память защищена. Ну и мало сайтов вообще поддерживают токены. Гугл например норм принимает, или те же госуслуги
У тебя проблемы с письменностью или со слепым вводом?
С бессмысленными действиями.
Короч, слушайте кулстори.
Использовал много лет один и тот же логин+пароль на многих сайтах. И третьего дня меня закономерно стали подламывать))) Серьезно, тот там подбирают, тот тут подбирают... Повсеместно их отлупала 2FA, но к паре медвежьих углов без двуфакторки - таки подломали)
Почту, к которой все эти акки были привязаны - не сломали, потому что там 2ФА.
Короче, пришлось два выходных тратить на то, чтобы поставить на всех своих аккаунтов разные пароли. Ставил 2-знаковые рандомные цифра+буква+символ, чтобы пососали с брутом ну совсем.
Короч, не будьте, как я - и используйте разные сложные пароли.
По поводу
>Свободные менеджеры паролей.
имею спросить: а аудит этого свободного менеджера когда делали?
>pass
Хорошый генератор, когда консоль открыть быстрее (guake), чем браузер.
>shittiest teir
>Хранить пароли в текстовом файле на компухтере в незашифрованном виде. В теории их всех можно спиздить запросто, а если вы хотите пользоваться этим файлом с нескольких машин? На флешке носить в 2к20?
На смартфоне. У тебя ведь есть самртфон без рута/джейла? И на котором ты повырубил все левые пермишшонсы?
>Самый big brain - это в личное облако положить такой файл.
Вполне нормально хранить там чужие пароли)
>или ты подразумеваешь, что в файлик ты руками будешь лазить самостоятельно всегда?
Да. У меня всегда он недалеко. Нажал на него - он открылся. Никакого пердолинга и никакого дополнительного по с генерацией ключей и ещё чем-то.
Кста, какой же пиздатый сайт на госуслугах...
Пацаны, что за pass? Кто вендор? Ссылку хоть дайте, ебана
понял, это софт для линуксобогов, хуле
есть как минимум две разные имплементации с поддержкой винды
На мой взгляд, дело не в софте, а в методе хранения, ПО - лишь реализация:
shit tier - хранение паролей без шифрования (в пресловутых документах);
bad tier - хранение паролей в зашифрованном виде, но в закрытых (особенно облачных) менеджерах;
good tier - хранение в зашифрованном виде в opensource менеджерах (на вкус и цвет) либо в документах, которые помещены в криптоконтейнер/зашифрованный архив.
shit tier - хранение паролей без шифрования (в пресловутых документах);
bad tier - хранение паролей в зашифрованном виде, но в закрытых (особенно облачных) менеджерах;
good tier - хранение в зашифрованном виде в opensource менеджерах (на вкус и цвет) либо в документах, которые помещены в криптоконтейнер/зашифрованный архив.
12345678asdf + двухфакторка, если двухфакторки нет, значит сервис неважный и пароль от него тоже.
можете обоссать
>Везде где нужно вручную вводить пароли юзайю три-четыре слова. Запоминается за три секунды. Удачи подобрать.
Так и знал, что кто-нибудь эту лошадь итт припрет. Хуйня полная нарисована.
Гибридная атака миллионным словарем по трехсловному составному паролю дает почти в пять раз меньше вариантов для перебора, чем брутфорс [a-z0-9]{12} при не сильно худшем выхлопе (слова-то "простые" используют, чтобы запоминалось).
Тред не читал, если уже обоссывали, то повторение мать учения.
>дает почти в пять раз меньше вариантов для перебора
То есть один порядок с [a-z0-9]{12}, только ещё и запоминается, лол. Плюс изично добавляется три-четыре порядка любым популярным словом.
В чём твой аргумент?
god tier - хранение паролей в уме
universe tier - полный отказ от паролей
/thread
Как человек, страдающий ОКР, подтверждаю. Не будь паролей - и мне спалось бы легче. Надеюсь, этот день когда-нибудь настанет, день, когда я удалю все пароли от всего и не буду зависеть ни от чего.
Есть же сервисы без паролей. Тот же notion высылает одноразовую кодовую фразу на ящик. Удобно.
shitties teir:
Простые пароли, среди которых 1234qwerasdfzxcv, password1234, mypassword и тд. В общем вот список
https://raw.githubusercontent.com/duyetdev/bruteforce-database/master/uniqpass-v16-passwords.txt
Список неполный, так как бесплатный.
Туда же входят коды из ваших любимых игрушек, ну и тд.
Такую хуйню взламывают школьники с дикшинари атаками.
Сюда же входят любые даты, их тоже прогнать не так сложно. И с точками, и без точек.
Даты без точек вроде 25122014 это вообще одни из самых популярных wifi паролей, ебать все даты, их с 1900 около 43к.
shit teir:
Сюда входят боле замысловатые пароли, но всё ещё подбираемую вроде yomamaisafatbitch или даже набранный на русском текст в виде неправильной раскладки, вроде zt,ecj,fredchfre
Сюда же идут всякие paulwasnotanapostle, yagamilightiskira и тд
Это сложнее подобрать, но всё-таки тоже калл.
Очень короткие цифробуквенные пароли входят сюда же.
https://zismo.biz/topic/81419-81419/
Посмотрите сколько здесь таких.
good teir
10-16 сгенеренные пароли из буквоцифер без знаков.
Как правило, их ещё реально запомнить, и поэтому их предпочитают более сложным альтернативам.
Но тоже есть проблемы.
Jesus teir
16+ буквы цифры знаки, сгенеренные.
Считайте вы достигли самого высокого уровня в этой игре.
Ну и как говорится, важная ремарка: если вы используете один пароль на все ваши платформы - вы даун. Вы пиздец какой даун. Какой бы god-teir у вас не был пароль, вас взъебут в жопу.
Если вы на каком-нибудь пейпале и на говносайте без защиты проебёте пароль, то в опасности всё что у вас есть. Задумайтесь, блэт.
Так вот, естественно ничего хуже Jesus teir нас не интересует, поэтому нужно придумать, где эти пароли хранить, ибо все не упомнишь. Для этого есть тоже 4 teir'а.
shittiest teir
Хранить пароли в текстовом файле на компухтере в незашифрованном виде. В теории их всех можно спиздить запросто, а если вы хотите пользоваться этим файлом с нескольких машин? На флешке носить в 2к20?
Самый big brain - это в личное облако положить такой файл.
shit teir
Менеджеры паролей с закрытым исходным кодом, вроде 1password, Enpass, Keeper и прочая лажа. Поскольку код закрытый, хуй его знает что это говнище вообще делает на самом деле. Я бы такой пиздой вообще не пользовался.
good teir
Свободные менеджеры паролей. Сюда же входит встроенный менеджер firefox(Firefox Lockwise), он опенсоус и он шифрует через aes.
Как это не сюда же я занусу блокнотик
Текст написанный на бумаге невозможно спиздить никаким цифровыми методами. Но можно спиздить саму бумажку, поэтому качество хранения зависит от качества хранения самой бумаги. Если вы её в сейфе храните, то это рили good teir, а если вы её с собой на работу(офисную) носите и швыряете куда попало - конеш это shittiest teir.
Некоторые пароли больше никак не сохранишь, например пароль от зашифрованного SSD.
Jesus teir.
Программа pass. Она опенсоурсная и очень простая, по сути если вам она не нравится, вы можете делать то же самое что она делает вручную, но с ней просто это займёт меньше кейстроков.
Как хранятся пароли?
В виде папки с папками с файлами. Например, ваш пароль от векашки ~/.password-store/vk/mainacc.gpg.
Из-за удобного пути можно легко понять какой файл содержит пароль от чего. Они там лежат в зашифрованном виде, и шифровки используется ВАШ личный gpg ключ. Ключ надо создать отдельно, и для него выбрать реально лютый пароль и записать его где-нибудь(лучше в память). Чтобы ввести куда-то пароль пишите pass -c path/to/password, и эта копируется в буфер обмена(спросив вас мастер-пароль от gpg ключа). Буфер обмена очищается через 45 секунд.
Чтобы создать новый пароль, просто набираешь pass generate /saitik/userok 32 и вот тебе пароль на 32 символа со знаками. Если сайтех(яндекс) не любит символы помимо буквоцифер, то есть флаг --no-symbols
Синхронизировать с другими компами можно через любое облако, передаёшь папку с паролями и всё. Удобно шопиздец. Так и делайте.